Saltar al contenido
Insights
8 min de lectura

Anatomía de un ATS: por qué tu sistema de selección ya te obliga (aunque el AI Act se haya aplazado)

Tu empresa casi seguro opera un ATS que filtra y puntúa candidatos. El aplazamiento del alto riesgo del AI Act a 2027 no te exime: la ley laboral y de protección de datos española ya te obliga hoy. Anatomía de un sistema de alto riesgo que casi nadie ha clasificado.

  • Temas:
  • EU AI Act
  • Anexo III
  • Empleo
  • RRHH
  • Compliance

El aplazamiento del alto riesgo del EU AI Act a diciembre de 2027 ha producido en muchos consejos una sensación de alivio. Es un error. Si su empresa usa un ATSApplicant Tracking System, el software que recibe, filtra y ordena candidatos—, opera un sistema que el legislador europeo clasifica como de alto riesgo (Anexo III, categoría 4: empleo). Y lo más incómodo: buena parte de sus obligaciones no dependen del calendario del AI Act. Le obligan hoy.

Qué es un ATS, y por qué casi seguro opera uno

Un ATS recibe, criba, puntúa y gestiona candidaturas. Casi toda empresa mediana usa uno —de un proveedor—, y muchos incorporan ranking algorítmico de CVs, matching, análisis de vídeo-entrevistas o chatbots de cribado. La pregunta no es si hay IA en su proceso de selección, sino quién la ha clasificado.

Por qué es Anexo III (categoría 4: empleo)

El Anexo III(4) del Reglamento (UE) 2024/1689 sitúa en alto riesgo los sistemas de IA destinados a: (a) la contratación y selección —dirigir anuncios de empleo, filtrar solicitudes, evaluar candidatos—; y (b) decisiones sobre condiciones de trabajo, promoción, extinción, asignación de tareas o evaluación del desempeño. Un ATS que ordena o puntúa CVs encaja en (a) de lleno.

Y la excepción del Art. 6(3) —la "tarea procesal limitada" que permitiría salir del alto riesgo— es de interpretación estricta y excluye expresamente el perfilado: un ATS que perfila candidatos no se salva por ahí.

Lo que NO espera al AI Act (y ya le obliga)

Aunque el alto riesgo del AI Act llegue en 2027, tres obligaciones le aplican hoy, al margen de ese calendario:

  1. Estatuto de los Trabajadores, art. 64.4.d (Ley Rider, 2021). El comité de empresa tiene derecho a ser informado de los parámetros, reglas e instrucciones en que se basan los algoritmos o sistemas de IA que afectan a decisiones sobre el acceso y mantenimiento del empleo, las condiciones de trabajo y la elaboración de perfiles. Si tiene representación legal de los trabajadores y un ATS algorítmico, esta transparencia ya es exigible —desde 2021—.
  2. RGPD y art. 22 de la LOPDGDD — decisiones automatizadas. Si una candidatura se descarta por una decisión basada únicamente en tratamiento automatizado, con efecto significativo, el candidato tiene derecho a intervención humana, a expresar su punto de vista y a impugnarla. Un cribado que rechaza sin revisión humana entra de lleno.
  3. AI Act, Art. 5 — prácticas prohibidas (en vigor desde febrero de 2025, NO aplazadas). El reconocimiento de emociones en el puesto de trabajo está prohibido. Si su proceso analiza emociones en vídeo-entrevistas, eso no se ha aplazado: está prohibido ya.

Dicho claro: el aplazamiento mueve el régimen administrativo del alto riesgo (marcado CE, evaluación de conformidad, registro) a 2027; no toca la transparencia algorítmica laboral, ni la protección de datos, ni las prohibiciones.

Lo que llegará con el AI Act (2027, provisional)

Cuando el alto riesgo entre en aplicación, su ATS deberá: supervisión humana efectiva (Art. 14); cumplir las obligaciones del responsable del despliegue (Art. 26) —usarlo según instrucciones, vigilar su funcionamiento y, dato clave, informar a la representación de los trabajadores y a los afectados antes de ponerlo en marcha (Art. 26.7), que se solapa con el ET 64.4.d—; y operar dentro de un sistema con evaluación de conformidad y registro realizados por el proveedor. Dieciséis meses son para gobernarlo bien, no para ignorarlo.

Las tres trampas

"Es del proveedor, no nuestro." El Art. 26 es claro: la condición de responsable del despliegue no se transfiere al proveedor. Si opera el ATS bajo su autoridad, asume las obligaciones —del AI Act y del ET 64.4.d—.

"Solo ordena, no decide." La frontera del art. 22 del RGPD no es "¿hay un humano al final?", sino si la intervención humana es real o un sello de goma. Un reclutador que valida una lista ya ordenada por el algoritmo, sin capacidad efectiva de revisarla, no salva la decisión.

"No es IA, es filtrado por palabras clave." La definición del Art. 3 es amplia. Un ranking entrenado sobre el histórico de contrataciones —que aprende a replicar patrones pasados, sesgos incluidos— es exactamente el riesgo que la norma persigue. La etiqueta interna no cambia la calificación regulatoria.

Las preguntas que el consejo debe poder responder

  1. ¿Qué sistema(s) de selección con componente algorítmico operamos, y de qué proveedor?
  2. ¿Hemos informado a la representación de los trabajadores de los parámetros del algoritmo (ET 64.4.d)?
  3. ¿Hay intervención humana efectiva en los descartes (RGPD art. 22)?
  4. ¿Usamos análisis de emociones en algún punto del proceso? (Si sí: revisar ya — Art. 5.)
  5. ¿Está por escrito quién es el responsable del despliegue y su línea de reporte?

La decisión que toca tomar

El aplazamiento del AI Act no es excusa para mirar a otro lado: el ATS es el caso de manual de un sistema de alto riesgo que casi nadie ha clasificado, y cuyas obligaciones más exigibles —las españolas— ya están en vigor. Inventariar e informar a la representación laboral no requiere esperar a 2027; requiere una conversación de consejo este trimestre.

Para llevarlo al consejo: el checklist del Anexo III (PDF) — uso libre, sin registro. Y para entender por qué el plazo se movió pero el deber no: la evolución del calendario del AI Act.

Fuentes: Reglamento (UE) 2024/1689 (Anexo III.4; arts. 3, 5, 6, 14, 26); Estatuto de los Trabajadores, art. 64.4.d (Ley 12/2021); RGPD (Reglamento (UE) 2016/679) y art. 22 de la LOPDGDD. Última actualización: 17 de junio de 2026.